Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 2 (всего у книги 91 страниц)
чить концепции и приобрести определенные н а в ы к и п р о щ е всего в п р о ц е с с е
выполнения практических заданий и отвечая на э к з а м е н а ц и о н н ы е в о п р о с ы .
Причем отдельные концепции и рекомендации и з л о ж е н ы т о л ь к о в п р а к т и ч е с -
ких упражнениях или упоминаются в контексте э к з а м е н а ц и о н н ы х в о п р о с о в ,
то есть в основной материал занятия они не включены. В н и м а т е л ь н о ч и т а й т е
теоретический материал и выполняйте практические задания. Д а ж е е с л и вы не
располагаете средой для выполнения упражнений, пытайтесь з а п о м н и т ь о п и с ы -
ваемые операции – рано илн поздно вам придется реализовать все на п р а к т и к е .
Требования к оборудованию
Практические упражнения – в а ж н е й ш и й к о м п о н е н т д а н н о г о р у к о в о д с т в а .
Они позволяют непосредственно применять приобретенные з н а н и я и н а в ы к и .
Для выполнения большинства упражнений необходим л и ш ь о д и н к о м п ь ю т е р ,
отконфигурнрованный как контроллер домена contoso.com, но в н е к о т о р ы х
случаях требуются дополнительные машины, в ы п о л н я ю щ и е р о л ь в т о р о г о к о н -
троллера в домене, контроллера еще одного домена в том же лесу, к о н т р о л л е р а
домена в еще одном лесу либо сервера, реализующего другие р о л и .
В главах с описанием AD DS (главы 1 – 1 3 ) т р е б у е т с я о д н о в р е м е н н о з а -
пускать не менее трех машин, а в главах с о п и с а н и е м д р у г и х р о л е й A c t i v e
Directory для обеспечения полной функциональности т е х н о л о г и й н е о б х о д и м о
задействовать до семи машин.
В практических упражнениях вместо ф и з и ч е с к и х к о м п ь ю т е р о в с т р о г о ре-
комендуется использовать виртуальные машины. Благодаря этому з н а ч и т е л ь н о
экономится время и отпадает необходимость в к о н ф и г у р а ц и и ф и з и ч е с к и х к о м -
пьютеров. Для виртуализации можно использовать Virtual PC 2007 и л и V i r t u a l
Server версии ие ниже 2005 R2 (бесплатно загружается по адресу http://www.
microsoft.com/downloads). Вам также подойдут такие средства в и р т у а л и з а ц и и ,
как VMware Workstation и VMware Server, которые можно з а г р у з и т ь по адресу
http://www.vmware.com. Просмотрите в документации выбранного п р о г р а м м н о г о
введение X X I
о б е с п е ч е н и я д л я в и р т у а л и з а ц и и и н ф о р м а ц и ю о создании виртуальных машин
W i n d o w s S e r v e r 2008.
В т а к и х н е б о л ь ш и х средах, как домен contoso.com, м а ш и н а Windows Ser-
v e r 2 0 0 8 б у д е т н о р м а л ь н о ф у н к ц и о н и р о в а т ь с 512 Мбайт памяти. При исполь-
з о в а н и и в и р т у а л ь н ы х м а ш и н выделяйте для каждой из них не менее 512 Мбайт
о п е р а т и в н о й п а м я т и . На ф и з и ч е с к о м компьютере, управляющем виртуальными
м а ш и н а м и , р е к о м е н д у е т с я установить достаточный объем памяти для операци-
о н н о й с и с т е м ы и в с е х о д н о в р е м е н н о запускаемых виртуальных машин. В слу-
чае в о з н и к н о в е н и я п р о б л е м с п р о и з в о д и т е л ь н о с т ь ю при запуске множества
в и р т у а л ь н ы х м а ш и н н а о д н о м ф и з и ч е с к о м хосте рассмотрите в о з м о ж н о с т ь
з а п у с к а в и р т у а л ь н ы х м а ш и н на р а з л и ч н ы х ф и з и ч е с к и х хостах. Убедитесь, что
все в и р т у а л ь н ы е м а ш и н ы могут с в я з ы в а т ь с я друг с другом по сети. Строго
р е к о м е н д у е т с я п о л н о с т ь ю о т к л ю ч и т ь среду от производственной сети.
А в т о р ы с о в е т у ю т с о х р а н я т ь все в и р т у а л ь н ы е машины, пока данное руко-
в о д с т в о не б у д е т п о л н о с т ь ю прочитано. После з а в е р ш е н и я работы над каждой
г л а в о й с о з д а в а й т е р е з е р в н ы е к о п и и или снимки используемых в ней виртуаль-
н ы х м а ш и н , ч т о б ы п р и н е о б х о д и м о с т и их м о ж н о было п р и м е н я т ь в последу-
ю щ и х у п р а ж н е н и я х .
Требования к программному обеспечению
Д л я в ы п о л н е н и я п р а к т и ч е с к и х з а д а н и й настоящего руководства необходима
к о п и я W i n d o w s S e r v e r 2008. Р я д у п р а ж н е н и й т р е б у ю т у с т а н о в к и W i n d o w s
S e r v e r 2 0 0 3 , а н е к о т о р ы е о п ц и о н а л ь н ы е у п р а ж н е н и я – W i n d o w s Vista.
О ц е н о ч н ы е в е р с и и W i n d o w s Server 2008 м о ж н о загрузить по адресу http://
www.microsoft.com/downloads. Д л я в ы п о л н е н и я у п р а ж н е н и й установите выпуск
S t a n d a r d и л и E n t e r p r i s e и используйте 32– либо 64-разрядную версию в зависи-
м о с т и от в ы б р а н н о й п л а т ф о р м ы оборудования и л и виртуализации. Инструкции
по у с т а н о в к е п е р в о г о к о н т р о л л е р а в д о м е н е contoso.com, к о т о р ы й вы будете
и с п о л ь з о в а т ь на п р о т я ж е н и и всего времени работы с руководством, содержатся
в г л а в е 1. В з а н я т и я х , где т р е б у ю т с я д о п о л н и т е л ь н ы е компьютеры, описана
к о н ф и г у р а ц и я э т и х к ом пьют е р о в.
Использование компакт-диска
П р и л а г а е м ы й к к н и г е к о м п а к т – д и с к содержит следующие материалы.
• П р о б н ы е э к з а м е н ы Э л е к т р о н н ы е п р о б н ы е экзамены, составленные на
о с н о в е в о п р о с о в , которые содержатся в подразделах «Закрепление материа-
л а » , п о м о г у т в а м з а к р е п и т ь и систематизировать свои з н а н и я по настройке
W i n d o w s S e r v e r 2008. Н а с к о л ь к о хорошо усвоена тема, м о ж н о проверить,
о т в е ч а я на в о п р о с ы л и б о по определенным главам, л и б о по всему сертифи-
к а ц и о н н о м у э к з а м е н у 7 0 – 6 4 0 . П р о б н ы й экзамен настраивается в режиме
о б ы ч н о г о э к з а м е н а и л и в р е ж и м е обучения – в последнем случае имеется
в о з м о ж н о с т ь п р о с м а т р и в а т ь правильные ответы и объяснения.
• Э л е к т р о н н а я книга Э л е к т р о н н а я версия этой книги ( е В о о к ) дается на
т о т с л у ч а й , е с л и вам не захочется носить с собой печатный вариант. О н а
с о з д а н а в P D F – ф о р м а т е (Portable Document Format – формат переносимого
XXII Введение
документа), следовательно, просматривать ее м о ж н о с п о м о щ ь ю п р о г р а м м
Adobe Acrobat и Adobe Reader.
• Примеры глав На компакт-диске вы найдете главы из д р у г и х к н и г из-
дательства Microsoft Press, п о с в я щ е н н ы х W i n d o w s S e r v e r 2 0 0 8 ( т а к ж е
в формате PDF).
Установка заданий пробного экзамена
Вам необходимо установить с компакт-диска на жесткий д и с к задания, к о т о р ы е
следует выполнить для подготовки к сдаче пробного экзамена.
1. Вставьте компактдиск в дисковод и примите у с л о в и я л и ц е н з и о н н о г о со-
глашения. На экран монитора будет выведено м е н ю к о м п а к т – д и с к а .
ПРИМЕЧАНИЕ Что делать, вели меню диска не отображается
Если условия лицензионного соглашения на экране не отобразились или если не
появилось меню компакт-диска, возможно, на вашем компьютере отключена функ-
ция автозапуска. Указания относительно альтернативного способа ее установки вы
найдете на компакт-диске в файле Readme.txt.
2. Щелкните элемент Practice Tests и следуйте в ы в о д и м ы м на э к р а н е у к а з а -
ниям.
ПРИМЕЧАНИЕ Занятия и практические тесты
Если вы хотите попытаться ответить на какие-либо вопросы из подраздела «Закрепле-
ние материала», сопровождающего каждое занятие, выберите Lesson r e v i e w ( 7 0 – 6 4 0 )
TS: Configuring Windows Server 2008 Active Directory. Для того чтобы ответить
на любые из 200 вопросов, аналогичных вопросам сертификационного экзамена
70-640, выберите Practice test(70-640) TS: Configuring Windows Server 2008 Ac-
tive Directory.
Закрепление материала
Чтобы закрепить пройденный материал, откройте д и а л о г о в о е о к н о C u s t o m
Mode и настройте процедуру тестирования. Вы можете щ е л к н у т ь ОК и п р и н я т ь
параметры по умолчанию или же определить количество вопросов, р е ж и м рабо'–
ты программы, а также указать, какие экзаменационные т е м ы д о л ж н ы з а т р а г и -
вать эти вопросы и нужно ли фиксировать время, затрачиваемое на п о д г о т о в к у
ответов. При повторном тестировании вы можете о т в е т и т ь на все в о п р о с ы
либо лишь на те, на которые не смогли дать п р а в и л ь н ы й ответ в п е р в ы й р а з .
• Для того чтобы начать опрос, щелкните кнопку О К .
• Отвечая на вопросы теста, переходите от одного вопроса к д р у г о м у с п о -
мощью кнопок Next, Previous и Go То.
« Если вы хотите выяснить, правильно ли ответили на вопрос, а т а к ж е п о -
лучить объяснения, щелкните Explanation.
• Чтобы узнать результаты тестирования, щелкните Score Test. Вы у в и д и т е
краткий перечень выбранных экзаменационных т е м и о б щ е е КОЛИЧбСТВО
Введение XXIII
(в п р о ц е н т а х ) п р а в и л ь н ы х ответов на тест, а также количество правильных
о т в е т о в по к о н к р е т н о й теме. У вас имеется возможность распечатать копию
в ы п о л н е н н о г о теста, просмотреть свои ответы и л и пройти тест повторно.
Пробный э к з а м е н
Вам н е о б х о д и м о в ы б р а т ь р е ж и м п р о х о ж д е н и я пробного экзамена: Certifica-
tion M o d e ( с е р т и ф и к а ц и о н н ы й ) , S t u d y M o d e ( о б у ч а ю щ и й ) и л и Custom Mode
( н а с т р а и в а е м ы й ) .
• C e r t i f i c a t i o n M o d e Д а н н ы й р е ж и м максимально соответствует условиям
п р о в е д е н и я с е р т и ф и к а ц и о н н о г о экзамена. Тест с о д е р ж и т определенное
ч и с л о в о п р о с о в , в р е м я его в ы п о л н е н и я фиксируется.
• S t u d y M o d e П р и п р о х о ж д е н и и теста в этом режиме в р е м я не фиксирует-
ся, ч т о п о з в о л я е т п р о с м а т р и в а т ь правильные ответы и о б ъ я с н е н и я после
к а ж д о г о о т в е т а н а вопрос.
• C u s t o m M o d e Р е ж и м , к о т о р ы й предоставляет вам возможность настроить
т е с т п о с в о е м у у с м о т р е н и ю .
Во всех р е ж и м а х и с п о л ь з у е т с я фактически один и тот же пользовательский
и н т е р ф е й с , с т о й л и ш ь р а з н и ц е й , что отменяются некоторые возможности.
П р о с м а т р и в а я с в о й ответ на к о н к р е т н ы й вопрос, вы увидите раздел Refe-
r e n c e s с у к а з а н и е м того, где м о ж н о найти и н ф о р м а ц и ю по затронутой теме.
П о с л е т о г о к а к вы щ е л к н е т е Test Results, чтобы узнать результаты теста, пе-
р е й д и т е на в к л а д к у L e a r n i n g P l a n и просмотрите список ссылок по каждому
вопросу.
Удаление ПО для пробного экзамена
П р и н е о б х о д и м о с т и у д а л и т ь программное обеспечение, используемое для сдачи
п р о б н о г о э к з а м е н а , на п а н е л и у п р а в л е н и я щелкните значок Установка и удале-
н и е ( A d d Or R e m o v e P r o g r a m s ) , если работаете в Windows ХР, либо Программы
и к о м п о н е н т ы ( P r o g r a m s And F e a t u r e s ) – при работе в Windows Vista.
Программа сертификации специалистов Microsoft
С е р т и ф и к а ц и я M i c r o s o f t обеспечивает н а и л у ч ш и й метод проверки того, на-
с к о л ь к о х о р о ш о с п е ц и а л и с т л и б о члены одной команды знают продукты и тех-
н о л о г и и M i c r o s o f t . П о р я д о к сдачи экзаменов и механизм выдачи соответству-
ю щ и х с е р т и ф и к а т о в р а з р а б о т а н ы с целью подтверждения п р о ф е с с и о н а л ь н ы х
н а в ы к о в в о б л а с т и п р о е к т и р о в а н и я и разработки либо реализации и поддержки
р е ш е н и й с и с п о л ь з о в а н и е м н о в е й ш и х методик. Специалисты, и м е ю щ и е сер-
т и ф и к а т ы M i c r o s o f t , з а с л у ж е н н о считаются экспертами в области в ы с о к и х
т е х н о л о г и й . Н а л и ч и е с е р т и ф и к а т о в предоставляет множество преимуществ
к а к о т д е л ь н ы м л и ц а м , т а к и с л у ж а щ и м и организациям.
К СВЕДЕНИЮ Все сертификаты Microsoft
Полный список сертификатов Microsoft можно найти по адресу www.microsoft.com/
learning/тер/default.asp
XXIV Введение
Техническая поддержка
Свои комментарии, вопросы и предложения относительно с о д е р ж и м о г о к н и г и
и прилагаемого к ней компакт-диска отправляйте в и з д а т е л ь с т в о M i c r o s o f t
Press. – '
« Адрес электронной почты:
« Почтовый адрес:
Microsoft Press
Attn: MCITS Self-Paced Training Kit (Exam 7 0 – 6 4 0 ) : C o n f i g u r i n g W i n d o w s
Server 2008 Active Directory, Editor
One Microsoft Way
Redmond, WA 98052-6399
Дополнительную информацию по рассматриваемым в и з д а н и и т е м а м , а т а к -
же ответы на часто задаваемые вопросы об установке и и с п о л ь з о в а н и и р а з л и ч -
ных продуктов можно найтн на веб-сайте Microsoft Press Technical S u p p o r t по
адресу http://www.microsoft.com/learning/support/books. Е с л и вы з а х о т и т е п о д -
ключиться к базе знаний Microsoft, с тем чтобы непосредственно в в о д и т ь с в о и
запросы, откройте страницу http://support.microsoft.com/search. И н ф о р м а ц и я
о программном обеспечении Microsoft представлена на с а й т е http://support.
microsoft.com.
Благодарности
Нельсон, Даниэль, Тони н я хотели бы выразить о г р о м н у ю б л а г о д а р н о с т ь со-
трудникам издательства Microsoft Press за р а с п р о с т р а н е н и е у ч е б н ы х м а т е р и -
алов по сертификации Windows Server 2008. Н а ч н у с Л а у р ы С о к е р м а н и К е н а
Джонса: вы собрали нас вместе в 2007 году и создали д о в о л ь н о э ф ф е к т и в н у ю
структуру, которая подготовила, как нам кажется, в е л и к о л е п н ы й р е с у р с д л я
IT-специалистов. Спасибо вам за то, что дали нам в о з м о ж н о с т ь н а п и с а т ь к н и г у
о любимой технологии Windows! Выражаем п р и з н а т е л ь н о с т ь М о р и н З и м м е р -
ман – за ее неустанное внимание к деталям процесса, за п о д д е р ж к у и т е р п е н и е ,
а также за то, что сумела заставить нас довести дело до конца. Б о б Хоган, В а м
огромное спасибо за ценные идеи и советы! Спасибо К е р и н Ф о р с и т за о ф о р м -
ление издания! Выражаем благодарность Бобу Д и н за ф о р м у л и р о в к у в о п р о с о в
практических упражнений. Крис Нортон, без Вас мы не с м о г л и бы н а п и с а т ь
ни одной страницы этого руководства. Спасибо всем!
И, конечно же, мы благодарим свои семьи, друзей, муз, к о т о р ы е п о д д е р ж и -
вали нас во время работы над книгой.
Г Л А В А 1
Установка
Занятие 1. Установка доменных служб Active Directory 2
Занятие 2. Доменные службы Active Directory и ядро сервера 23
К о м п о н е н т Active Directory Domain Services (AD DS) и связанные с ним
с л у ж б ы ф о р м и р у ю т основу корпоративных сетей Microsoft Windows. Они
хранят данные о подлинности пользователей, компьютеров и служб, а следо-
вательно, их можно использовать для проверки подлинности пользователя или
компьютера. К р о м е того, указанные средства предоставляют пользователям
и к о м п ь ю т е р а м механизм получения доступа к ресурсам предприятия. В на-
чале этой г л а в ы мы рассмотрим службу Active Directory системы Windows
Server 2008, расскажем об установке роли Доменные службы Active Directory
(Active D i r e c t o r y Domain Services) и о создании контроллера домена в но-
вом лесу Active Directory. В системе Windows Server 2008 усовершенствованы
многие к о н ц е п ц и и и компоненты Active Directory, с предыдущими версиями
которых вы, возможно, уже знакомы.
Д а н н а я глава посвящена созданию нового леса Active Directory с одним
доменом на одном контроллере домена. В ее практических упражнениях пред-
ставлен процесс создания домена contoso.com, который будет использоваться и
в последующих практических упражнениях этого руководства. Позднее (в гла-
вах 8, 10 и 12) мы рассмотрим другие сценарии, включая леса с множеством
доменов, обновление существующих лесов до Windows Server 2008 и допол-
нительные о п ц и и установки. Наконец, в главах 14-17 будут описаны такие
службы Active Directory, как службы облегченного доступа к каталогам (Acti-
ve D i r e c t o r y Lightweight Directory Services), сертификации Active Directory
(Active Directory Certificate Services) с инфраструктурой публичных ключей,
у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights Management
Service), федерации Active Directory (Active Directory Federated Services).
Темы экзамена:
• Н а с т р о й к а инфраструктуры Active Directory.
• Н а с т р о й к а леса либо домена.
2 Установка
Прежде всего
Для выполнения упражнений данной главы вам понадобятся с л е д у ю щ и е ап-
паратные и программные средства.
• Два компьютера с установленной системой W i n d o w s S e r v e r 2 0 0 8 . О н и
должны соответствовать м и н и м а л ь н ы м т р е б о в а н и я м с и с т е м ы W i n d o w s
Server 2008, у к а з а н н ы м по адресу http://technet.microsoft.com/en-us/
windowsserver/2008/bb414778.aspx. Вам потребуется не м е н е е 5 1 2 М б а й т
памяти, 10 Гбайт свободного пространства на жестком д и с к е и п р о ц е с с о р
х86 с минимальной тактовой частотой 1 ГГц и л и процессор х64 с м и н и м а л ь -
ной тактовой частотой 1,4 ГГц. М о ж н о т а к ж е и с п о л ь з о в а т ь в и р т у а л ь н ы е
машины, соответствующие тем же требованиям.
« Оценочная версия системы Windows Server 2008. На в р е м я н а п и с а н и я д а н -
ной книга оценочные версии были доступны на д о м а ш н е й с т р а н и ц е э т о й
системы по адресу http://www.microsoft.com/windowsseiver2008.
История из жизни
Дэн Холме
Контроллеры доменов проверяют подлинность и контролируют управление
доступом, что очень важно для целостности и безопасности предприятия Win-
dows. Поэтому в большинстве организаций контроллер домена выполняет лишь
функции серверов файлов и печати.
В предыдущих версиях Windows при повышении ранга рядового сервера до
контроллера домена другие службы оставались доступными независимо от их
использования. Для этих дополнительных ненужных служб надо было вносить
исправления в систему безопасности и обновлять ее, не говоря уже о дополни-
тельных угрозах безопасности для контроллера домена.
В системе Windows Server 2008 эти проблемы устранены благодаря архитек-
туре на основе ролей. При ней сервер начинает свой жизненный цикл с весьма
ограниченной установки системы Windows, в которую потом добавляются роли,
а также связанные с ними службы и компоненты. Посредством установки ядра
сервера (Server Core) системы Windows Server 2008 производится минимальная
установка системы Windows, в которой нет даже графического пользовательского
интерфейса (GUI) и есть только командная строка. В этой главе вы ознакомитесь
с этими важными характеристиками контроллеров доменов системы Windows
Server 2008. Такие изменения архитектуры и набора компонентов помогут вам
повысить безопасность, стабильность и управляемость инфраструктуры про-
верки подлинности и управления доступом.
Занятие 1. Установка доменных служб Active Directory
Доменные службы Active Directory (Active Directory D o m a i n Services, AD D S )
обеспечивают идентификацию и доступ ( I d e n t i t y and Access, I D A ) д л я к о р п о -
ративных сетей. На этом занятии мы рассмотрим AD DS и д р у г и е р о л и A c t i v e
Directory, поддерживаемые в системе Windows Server 2008. Мы т а к ж е о б с у д и м
Занятие 1
Установка доменных служб Active Directory " ) 3
Д и с п е т ч е р сервера (Server Manager), с помощью которого можно конфигуриро-
вать р о л и сервера, а т а к ж е усовершенствованный Мастер установки доменных
с л у ж б Active D i r e c t o r y (Active Directory Domain Services Installation Wizard).
З д е с ь т а к ж е о п и с а н ы к л ю ч е в ы е к о н ц е п ц и и I D A и Active Directory.
Изучив материал этого занятия, вы сможете:
У Описать роль идентификации и доступа в корпоративной сети.
У Понимать связь между службами Active Directory.
У Конфигурировать контроллер домена с ролыо Доменные службы Active Di-
rectory ( A D DS) посредством интерфейса системы Windows.
Продолжительность занятия – около 60 мин.
Структура Active Directory, идентификация и доступ
К а к у ж е г о в о р и л о с ь в н а ч а л е э т о й главы, структура Active Directory обеспечи-
вает и д е н т и ф и к а ц и ю и доступ I D A д л я корпоративных сетей Windows. Решение
I D A н е о б х о д и м о д л я п о д д е р ж к и безопасности к о р п о р а т и в н ы х ресурсов, в том
ч и с л е ф а й л о в , э л е к т р о н н о й почты, п р и л о ж е н и й и баз данных. Инфраструктура
I D A д о л ж н а в ы п о л н я т ь с л е д у ю щ и е задачи.
• Х р а н е н и е и н ф о р м а ц и и о пользователях, г р у п п а х , к о м п ь ю т е р а х и других
о б ъ е к т а х и д е н т и ф и к а ц и и О б ъ е к т и д е н т и ф и к а ц и и ( i d e n t i t y ) – это пред-
с т а в л е н и е с у щ н о с т и , в ы п о л н я ю щ е й к а к и е – т о д е й с т в и я в к о р п о р а т и в н о й
сети. П р е д п о л о ж и м , что пользователь открывает документы в общей папке
н а с е р в е р е . О н и з а щ и щ е н ы р а з р е ш е н и я м и списка контроля доступа (Access
C o n t r o l List, A C L ) . Д о с т у п о м к д о к у м е н т а м у п р а в л я е т подсистема безопас-
н о с т и с е р в е р а , к о т о р ы й , с р а в н и в а я объект и д е н т и ф и к а ц и и пользователя
с о б ъ е к т а м и в с п и с к е ACL, п р е д о с т а в л я е т или з а п р е щ а е т пользователю
д о с т у п . П о с к о л ь к у к о м п ь ю т е р ы , группы, с л у ж б ы и другие объекты тоже
в ы п о л н я ю т о п р е д е л е н н ы е д е й с т в и я в сети, они д о л ж н ы быть представлены
о б ъ е к т а м и и д е н т и ф и к а ц и и . Среди и н ф о р м а ц и и об объекте идентификации,
к о т о р а я х р а н и т с я , есть свойства, у н и к а л ь н ы м образом идентифицирующие
о б ъ е к т , н а п р и м е р и м я п о л ь з о в а т е л я л и б о и д е н т и ф и к а т о р безопасности
( S e c u r i t y Identifier, S I D ) , а также пароль объекта идентификации. Таким об-
р а з о м , хранилище объектов идентификации я в л я е т с я одним из компонентов
и н ф р а с т р у к т у р ы I D A . В х р а н и л и щ е данных Active Directory, которое также
н а з ы в а е т с я к а т а л о г о м , х р а н я т с я объекты идентификации. С а м и м хранили-
щ е м у п р а в л я е т к о н т р о л л е р д о м е н а – сервер, и г р а ю щ и й роль AD DS.
• П р о в е р к а подлинности о б ъ е к т а и д е н т и ф и к а ц и и Сервер не предоставляет
п о л ь з о в а т е л ю д о с т у п а к документу, пока не будет подтверждена подлин-
н о с т ь о б ъ е к т а и д е н т и ф и к а ц и и , представленного в запросе доступа. Что-
бы п о д т в е р д и т ь п о д л и н н о с т ь объекта, пользователь указывает секретную
и н ф о р м а ц и ю , и з в е с т н у ю т о л ь к о ему и и н фр а с т р у к ту р е IDA. Эти данные
с р а в н и в а ю т с я с и н ф о р м а ц и е й в х р а н и л и щ е объектов и д е н т и ф и к а ц и и во
в р е м я п р о ц е с с а , к о т о р ы й называется проверкой подлинности.
I •| g Установка Глава 1
Проверка подлинности Kerberos в домен е Active Directory
В домене Active Directory для проверки подлинности объектов идентификации
используется протокол Kerberos. Когда пользователь или компьютер входит
в сеть домена, этот протокол проверяет подлинность указанных реквизитов и
выдает пакет данных, который называется билетом на получение разрешения
TGT (Ticket Granting Ticket). Перед подключением пользователя к серверу для
запроса документа на контроллер домена пересылается запрос Kerberos вместе
с билетом TGT, который идентифицирует пользователя, прошедшего проверку
подлинности. Контроллер домена выдает пользователю еще один пакет данных,
который называется билетом доступа к службе. Этот билет идентифициру-
ет прошедшего проверку подлинности пользователя на сервере. Пользователь
предоставляет билет на доступ службе на сервере, который принимает его как
подтверждение прохождения проверки подлинности.
В результате выполнения таких действий протоколу Kerberos требуется лишь
один сетевой вход. После начального входа пользователя либо компьютера и по-
лучения им билета TGT пользователь проходит проверку подлинности для всего
домена и может получать идентификационные билеты на доступ к службам.
Всеми этими операциями с билетами прозрачно для пользователя управляют
клиенты и службы Kerberos, встроенные в систему Windows.
• Управление доступом Инфраструктура I D A о б е с п е ч и в а е т з а щ и т у к о н -
фиденциальных данных, н а п р и м е р и н ф о р м а ц и и в д о к у м е н т е . Д о с т у п
к конфиденциальным данным должен к о н т р о л и р о в а т ь с я в с о о т в е т с т в и и
с политиками предприятия. Списки у п р а в л е н и я д о с т у п о м A C L д о к у м е н т а
отражают политику безопасности, состоящую из р а з р е ш е н и й , в к о т о р ы х
для отдельных объектов идентификации у к а з а н ы у р о в н и д о с т у п а . В д а н -
ном примере функции контроля доступа в и н ф р а с т р у к т у р е I D A в ы п о л н я е т
подсистема безопасности на сервере.
• Обеспечение данных аудита Предприятию может потребоваться о т с л е ж и -
вать изменения и действия, выполняемые в и н ф р а с т р у к т у р е I D A , п о э т о м у
решение IDA должно обеспечить механизм у п р а в л е н и я а у д и т о м .
Службы AD DS представляют не единственный к о м п о н е н т I D A , п о д д е р ж и -
ваемый в системе Windows Server 2008. В версии W i n d o w s Server 2 0 0 8 к о р п о р а -
ция Microsoft объединила множество ранее разделенных к о м п о н е н т о в в и н т е г -
рированную платформу IDA. Сама структура Active Di r e c t o r y т е п е р ь в к л ю ч а е т
пять технологий, назначение которых очевидно из их н а з в а н и й (рис. 1 – 1 ) . Э т и
технологии полностью реализуют и д е н т и ф и к а ц и ю и д о с т у п I D A .
• Доменные службы Active D i r ec t o r y (Active D i r e c t o r y D o m a i n S e r v i c e s ) —
Идентификация Описанные ранее доменные с л у ж б ы A D D S п р е д о с т а в -
ляют центральный репозиторий д л я у п р а в л е н и я и д е н т и ф и к а ц и е й в о р -
ганизации. Они проверяют подлинность и а в т о р и з а ц и ю в сети, а т а к ж е
поддерживают управление объектами с п о м о щ ь ю г р у п п о в о й п о л и т и к и .
Кроме того, службы AD DS обеспечивают у п р а в л е н и е и н ф о р м а ц и е й и об-
щим доступом к службам, помогая п о л ь з о в а т е л я м н а х о д и т ь в к а т а л о г е
различные компоненты: файловые серверы, п р и н т е р ы , г р у п п ы и других
Занятие 1
Установка доменных служб Active Directory " ) 5
п о л ь з о в а т е л е й . По этой причине AD DS часто называют службой каталогов
с е т е в о й о п е р а ц и о н н о й системы. С л у ж б ы A D D S представляют основную
т е х н о л о г и ю Active Directory, поэтому они д о л ж н ы быть развернуты в каж-
д о й сети с о п е р а ц и о н н о й системой Windows Server 2008. Доменные службы
A c t i v e D i r e c t o r y о п и с а н ы в главах 1 – 1 3 .
Службы облегченного
доступа к каталогам
Active Directory
(AD LDS)
Службы управления
правами Active Directory
(AD RMS)
Легенда
Интеграция технологий Active Directory
Потенциальные связи
Рис. 1-1. Интеграция пяти технологий Active Directory
В к а ч е с т в е р у к о в о д с т в а по п р о е к т и р о в а н и ю Active Directory можно бес-
п л а т н о з а г р у з и т ь г л а в у 4 «Designing t h e Active Directory» книги «Windows
S e r v e r 2003, Best Practices for Enterprise Deployments» по адресу http://www.
reso-net.com/Documents/007222343X_Ch03.pdf.
К СВЕДЕНИЮ Проектирование AD DS
Обновленную информацию о проектировании доменных служб Active Directory
можно найти в книге RuestD., RuestN. Windows Server 2008: The Complete Refer-
ence: McGraw-Hill Osborne.
• С л у ж б ы о б л е г ч е н н о г о д о с т у п а к к а т а л о г а м (Active D i r e c t o r y Lightweight
D i r e c t o r y S e r v i c e s ) – П р и л о ж е н и я Р о л ь AD LDS является, по сути, не-
з а в и с и м о й в е р с и е й с л у ж б ы Active Directory. Ее называют также режимом
п р и л о ж е н и й A c t i v e D i r e c t o r y (Active Directory Application Mode, A D A M ) .
I •| g Установка Глава 1
Она обеспечивает поддержку приложений каталогов. К о м п о н е н т AD L D S
фактически является поднабором AD DS, поскольку оба к о м п о н е н т а осно-
ваны на одном коде ядра. Каталог AD LDS хранит и р е п л и ц и р у е т т о л ь к о
данные приложений. Его часто используют п р и л о ж е н и я , к о т о р ы м н е о б х о -
димо хранилище каталогов, но не требуется р е п л и ц и р о в а т ь и н ф о р м а ц и ю
на все контроллеры доменов. Кроме того, службы AD L D S д а ю т в о з м о ж -
ность развернуть настраиваемую схему д л я п о д д е р ж к и п р и л о ж е н и я б е з
модификации схемы AD DS. Роль AD LDS облегченная. О н а п о д д е р ж и в а е т
множество хранилищ данных в одной системе, чтобы к а ж д о е п р и л о ж е н и е
можно было развернуть с собственным каталогом, схемой, н а з н а ч е н н ы м
облегченным протоколом доступа к каталогам L D A P ( L i g h t w e i g h t D i r e c t o r y
Access Protocol), портами SSL и журналом с о б ы т и й п р и л о ж е н и я . Р о л ь AD
LDS не зависит от служб AD DS, поэтому ее можно и с п о л ь з о в а т ь в а в т о н о м -
ной среде либо рабочей группе. Однако в д о м е н н ы х средах эта р о л ь м о ж е т
использоваться службами AD DS для проверки п р и н ц и п а л о в б е з о п а с н о с т и
системы Windows (пользователей, групп и к о м п ь ю т е р о в ) . К р о м е того, р о л ь
AD LDS можно применять для реализации служб п р о в е р к и п о д л и н н о с т и в
открытых сетях (например, в экстрасети). При и с п о л ь з о в а н и и д а н н о й р о л и
в такой ситуации угроза безопасности меньше, чем п р и и с п о л ь з о в а н и и AD
DS. Службы AD LDS описаны в главе 14.
• Службы сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r -
vices) – Доверие Организации могут использовать с л у ж б ы с е р т и ф и к а ц и и
AD CS в инфраструктуре открытых ключей P K I ( P u b l i c Key I n f r a s t r u c t u r e ) ,
